Clientanmeldungssitzungen

Ein Server mit dem SE_TCB_NAME-Berechtigung, z. B. ein Windows-Dienst, der im LocalSystem-Konto ausgeführt wird, kann die LogonUser-Funktion aufrufen, um einen Client auf dem Computer zu authentifizieren , auf dem der Server ausgeführt wird. Die LogonUser-Funktion startet eine neue Anmeldesitzung und gibt ein primäres Zugriffstoken zurück, das die Sicherheitsinformationen des Clients enthält. Sie können dieses primäre Token verwenden, um die ImpersonateLoggedOnUser-Funktion zum Identitätswechsel des Clients oder beim Aufrufen der CreateProcessAsUser-Funktion zu verwenden, um einen Prozess zu erstellen, der im Sicherheitskontext des Clients ausgeführt wird.

Der Vorteil der Authentifizierung des Clients auf diese Weise besteht darin, dass der Server, der die Identität des authentifizierten Clients angibt, oder ein Prozess , der im Kontext des authentifizierten Clients erstellt wird, eine Verbindung mit Remotenetzwerkressourcen als Client herstellen kann. Wenn diese Authentifizierung nicht erfolgt ist, kann der Server nur dann eine Verbindung mit Netzwerkressourcen herstellen, wenn er den Kontonamen und das Kennwort des Clients für die Übergabe an die WNetAddConnection2-Funktion erworben hat.

Der Nachteil der Authentifizierung des Clients auf diese Weise besteht darin, dass der Server die Anmeldeinformationen des Clients (Domänenname, Benutzername und Kennwort) erworben haben muss. Wenn ein Remoteclient diese Anmeldeinformationen an den Server übermittelt, liegt es in der Verantwortung des Clients und servers, sicherzustellen, dass die Anmeldeinformationen auf sichere Weise übertragen werden.